QNAP QTS の深刻な脆弱性 CVE-2024-27130:Poc エクスプロイトがリリースされる

Experts Released Poc Exploit Code For Rce In QNAP QTS

2024/05/21 SecurityAffairs — QNAP QTS に存在する 15件の脆弱性が、WatchTowr Labs により発見されたが、その大半は未修正であるという。最も深刻な脆弱性 CVE-2024-27130 は、”share.cgi” の “No_Support_ACL” 関数におけるスタック・オーバーフローの欠陥である。この脆弱性の悪用に成功した未認証の攻撃者は、特定の条件下でリモート・コード実行を可能にする。

さらに、この脆弱性 CVE-2024-27130 の技術的な詳細と PoC エクスプロイト・コードも、WatchTowr Labs の研究者たちにより公開されている。

特別に細工された “name” パラメータを持つ悪意のリクエストを送信することで、脅威アクターたちは CVE-2024-27130 を悪用し、バッファ・オーバーフローを引き起こし、リモートからのコード実行を可能にする。

そのための前提として脅威アクターは、標的とする NAS ユーザーが QNAP デバイスからファイルを共有する際に生成される、有効な “ssid” パラメータを必要とする。このパラメータは、”share” リンクの URL に含まれる。したがって、脅威アクターはソーシャルエンジニアリングを介して、このパラメータを取得する必要がある。

WatchTowr Labs は、「”share.cgi” の “get_file_size” 関数からアクセスが可能な、”No_Support_ACL” における “strcpy” の安全ではない使用により、スタック・オーバーフローが引き起こされ、結果として RCE にいたる。ただし、この脆弱性を悪用する攻撃者は、ファイルを共有する有効な NAS ユーザーが必要となる 」と述べている。

この NAS 製品に存在する、その他の脆弱性は、コード実行/バッファ・オーバーフロー・メモリ破壊/認証バイパス/XSS 攻撃などを引き起こすものであり、さまざまな導入環境におけるセキュリティに影響を与える。

以下は、専門家たちが発見した、脆弱性の全リストである:

BugNatureFix statusRequirements
CVE-2023-50361Unsafe use of sprintf in getQpkgDir invoked from userConfig.cgi leads to stack buffer overflow and thus RCEPatched (see text)Requires valid account on NAS device
CVE-2023-50362Unsafe use of SQLite functions accessible via parameter addPersonalSmtp to userConfig.cgi leads to stack buffer overflow and thus RCEPatched (see text)Requires valid account on NAS device
CVE-2023-50363Missing authentication allows two-factor authentication to be disabled for arbitrary userPatched (see text)Requires valid account on NAS device
CVE-2023-50364Heap overflow via long directory name when file listing is viewed by get_dirs function of privWizard.cgi leads to RCEPatched (see text)Requires ability to write files to the NAS filesystem
CVE-2024-21902Missing authentication allows all users to view or clear system log, and perform additional actions (details to follow, too much to list here)Accepted by vendor; no fix available (first reported December 12th 2023)Requires valid account on NAS device
CVE-2024-27127A double-free in utilRequest.cgi via the delete_share functionAccepted by vendor; no fix available (first reported January 3rd 2024)Requires valid account on NAS device
CVE-2024-27128Stack overflow in check_email function, reachable via the share_file and send_share_mail actions of utilRequest.cgi (possibly others) leads to RCEAccepted by vendor; no fix available (first reported January 3rd 2024)Requires valid account on NAS device
CVE-2024-27129Unsafe use of strcpy in get_tree function of utilRequest.cgi leads to static buffer overflow and thus RCEAccepted by vendor; no fix available (first reported January 3rd 2024)Requires valid account on NAS device
CVE-2024-27130Unsafe use of strcpy in No_Support_ACL accessible by get_file_size function of share.cgi leads to stack buffer overflow and thus RCEAccepted by vendor; no fix available (first reported January 3rd 2024)Requires a valid NAS user to share a file
CVE-2024-27131Log spoofing via x-forwarded-for allows users to cause downloads to be recorded as requested from arbitrary source locationAccepted by vendor; no fix available (first reported January 3rd 2024)Requires ability to download a file
WT-2023-0050N/AUnder extended embargo due to unexpectedly complex issueN/A
WT-2024-0004Stored XSS via remote syslog messagesNo fix available (first reported January 8th 2024)Requires non-default configuration
WT-2024-0005Stored XSS via remote device discoveryNo fix available (first reported January 8th 2024)None
WT-2024-0006Lack of rate-limiting on authentication APINo fix available (first reported January 23rd 2024)None
WT-2024-00XXN/AUnder 90-day embargo as per VDP (first reported May 11th 2024)N/A

この脆弱性が影響を及ぼすのは、QTS/QuTScloud/QTS hero となる。

2023年12月12日〜2024年1月23日の間に提出された、脆弱性報告に対して QNAP は、何度も遅れを生じながら対応し、15件の欠陥のうちの4件のみを修正している。

現時点で QNAP が対応したのは、2024年4月にリリースされたセキュリティ更新プログラムによる、CVE-2023-50361/CVE-2023-50362/CVE-2023-50363/CVE-2023-50364 のみとなる。この4件の脆弱性が修正されたのは、以下のバージョンとなる:

  • QTS 5.1.6.2722 ビルド 20240402 以降
  • QuTS hero h5.1.6.2734 ビルド 20240414 以降

WatchTowr が大量の脆弱性を探し出し、QNAP に報告していますが、なかなか対応が追いつかない状況のようです。しかも、PoC エクスプロイトも提供され、とても危ない状態に陥っています。QNAP を狙うランサムウェア・ギャングというと、Deadbolt を思い出しますが、最近はどうなんでしょうね? 攻撃が始まる前に、速やかにパッチが提供されるとよいですね。よろしければ、QNAP で検索も、ご利用ください。